[Descomplicando a Auditoria] Como Auditar Gestão de Continuidade de Negócios (GCN) da sua empresa

Esta é uma série de posts de autoria do colega Walter Alexandre Reimberg Lopes chamada “Descomplicando a Auditoria”, com o objetivo de tratar alguns temas relacionados a Controles Internos e Auditoria Interna, de forma leve, bem-humorada e de fácil leitura, mas com conteúdo prático e compartilhamento de experiências, as quais o autor obteve nos quase 20 anos atuando no mercado corporativo de grandes corporações.

Agora é a vez de compartilhar um tema pouco debatido, mas de extrema relevância, principalmente em tempos de pandemia, vamos em frente descomplicar a auditoria em Gestão de Continuidade de Negócios.

Ah, e porque este tema é oportuno? Simples, estamos no meio de uma pandemia, ou seja, uma situação de crise, onde empresas foram obrigadas a migrar para um conceito de trabalho remoto, estando preparadas ou não. E veja bem, nesse caso, as empresas conseguiram migrar para o trabalho remoto, pois muitos de nós temos notebooks no trabalho, temos internet em casa, e até vi empresas enviando desktops, cadeiras, e um monte de itens para a casa das pessoas que estão fora dos escritórios, mas dependendo do tamanho e complexidade da crise instalada, esse tema pode quebrar empresas em caso de situações de emergências mais complexas ou grave.

Os Planos de Continuidade de Negócios

Falar de Gestão da Continuidade é bastante trágico, o sujeito precisa ser o “mensageiro do caos” para pensar em tudo que pode dar errado e traçar planos de contorno para essas situações adversas. Depois dos atentados de 11 de setembro no World Trade Center, o mundo dos profissionais de Gestão de Continuidade mudou de tom e riscos foram reestudados, empresas sumiram quando as torres ruíram, simplesmente porque ninguém nunca pensou que aquilo poderia acontecer.

Lembra do negócio de “mensageiro do caos”, como poderíamos prever isso? Mas o fato é que empresas tinhas seus serviços locais e “becapeados” na torre ao lado e com a queda das duas torres, simplesmente se perdeu todo o histórico da companhia (claro que se perdeu muito mais que isso naquele desastre da humanidade, morreram cerca de 3 mil pessoas, mas estou fazendo um paralelo para poder ilustrar como a Continuidade de uma empresa pode ser afetada).

Imagine que, em questão de minutos, sua empresa não sabe mais pra quem ela deve, quem deve pra ela, quem são seus clientes, quem são seus fornecedores, quem são seus funcionários etc. Afinal, o sistema e todas as informações viraram pó. Estima-se prejuízos de U$D 40 bilhões (dólares), somente naquele incidente.

Mas é isso, muito se aprendeu com a tragédia e o cenário de Gestão de Continuidade passou a ter mais relevância (sabe aquele negócio de colocar fechadura na porta, depois que ela é arrombada, é tipo isso). Nós, brasileiros, temos a vantagem de não sermos atacados por terroristas, e também não temos tantos riscos da natureza, como terremotos, maremotos, nevascas, etc.

Mas em resumo, diversas lições aprendidas foram tiradas desse evento:
Excluído:

  1. Planos devem ser atualizados e testados com frequência;
    .
  2. Todos os tipos de ameaças devem ser consideradas (até mesmo as mais remotas);
    .
  3. Dependências e interdependências de processos devem ser cuidadosamente analisados;
    .
  4. Pessoal-chave pode não estar disponível (as merdas sempre acontecem quando ninguém está disponível para resolver – Lei de Murphy total);
    .
  5. Tecnologia e telecomunicações são essenciais;
    .
  6. Locais alternativos para a TI não devem ser situados perto do local principal (conheço multinacionais que fazem backups de seus servidores em continentes diferentes);
    .
  7. Conhecimento de funcionários e demais stakeholders é extremamente importante (fornecedores, clientes, etc.).

Em geral os PCNs são compostos por Planos auxiliares, tais como: (i) Plano de Contingência/Emergência; (ii) Plano de Gerenciamento de Crises (PAC); (iii) Plano de Recuperação de Desastres (DRP) e; (iv) Plano de Continuidade Operacional (PCO), com o objetivo de preparar a Companhia para atuação em situações adversas, visando restabelecer e/ou dar prosseguimento as atividades minimizando ao máximo os impactos e/ou respectivas perdas financeiras, com ações desenhadas para garantir a continuidade das atividades consideradas críticas à empresa, buscando reduzir os prejuízos operacionais.

Comumente os cenários previstos para um PCN, independente do fator causador da crise (atentado, terremoto, pandemia, alagamento, greves, etc.), sempre te levam a ter os seguintes problemas: (i) Indisponibilidade de Local; (ii) Indisponibilidade de Sistemas e; (iii) Indisponibilidade de Pessoal. É em cima destes cenários que vamos traçar nossa Auditoria.

Mas vamos auditar…

Mas enfim, depois deste briefing longo, como em toda boa auditoria você vai montar seu programa de trabalho e vou compartilhar o escopo que defini seguindo o padrão de “quebrar” sempre em 3 pilares: (i) Governança, (ii) Processos e controles e (iii) Sistemas de gestão e suporte, lá vamos nós:

Escopo Resumido

Estrutura de Governança

  • Observar a existência de instrumentos de governança sobre os processos de Gestão de Continuidade (políticas e procedimentos) – (você pode identificar que não existe uma política descrita e bem definida para o processo, além de processo de revisões dessa política).

Controles e Processos

  • Gestão do Plano de Continuidade do Negócio (PCN) e frequência de revisões. (você pode até encontrar uma política de GCN, mas raramente você encontrará uma rotina de atualização dos instrumentos de Governança);
    .
  • Estruturação dos Planos auxiliares de (i) Contingência/Emergência, (ii) Gerenciamento de Crises (PAC), (iii) Plano de Recuperação de Desastres (DRP) e (iv) Plano de Continuidade Operacional (PCO) (da mesma forma que o tópico acima, você pode avaliar se todos os planos foram elaborados, cada qual com sua finalidade e etc.);
    .
  • Processo de mapeamento e gestão dos riscos, atividades críticas, principais ameaças e os respectivos impactos (neste tópico você poderá avaliar se foi realizado um Mapeamento de processos críticos, também conhecido como BIA [Business Impact Analysis], onde se analisa através de um Assessment todas as áreas e processos da companhia e se pontua por criticidades [tipo um mapa de riscos] e, com isso, você chega a um ranking dos principais processos críticos da sua operação);
    .
  • Processo de restabelecimento dos sistemas e infraestrutura de TI que suportam os processos críticos (DRP) (aqui você pode avaliar se a área de TI fez sua parte, se existe um DRP elaborado e testado, se contempla capacidade de máquina, backup de informações, suporte dos provedores/fornecedores em situação de crises [PCN dos seus fornecedores – temos?, obsolescência de máquinas, redundâncias em caso de contingência de , dentre outros itens – se o Gerente de TI te disser que ele fez toda a lição de casa, que tem redundância e que está tudo lindo, fala que você vai dar um shutdown no servidor, se ele se descabelar, pode acreditar que sua empresa não está preparada para ter um problema no datacenter principal];
    .
  • Planejamento, execução e registro dos exercícios simulados e ajustes dos procedimentos (aqui você verifica se está sendo realizado os treinamentos e simulações do PCN e se estão fazendo registros disso com lições aprendidas e gerando revisões do Plano – se no tópico acima você notar que o plano não foi revisado há muito tempo, provavelmente não fazem simulados e/ou não estão formalizando e gerando o clico PDCA deste processo);
    .
  • Instrumentos de proteção e resposta a incidentes (verifique neste tópico se os PCOs contemplam uma lista de atividades de resposta a incidentes, estratégias de saída para contingência, trabalho em contingência [remoto por exemplo] e retomada pós crise);
    .
  • Mapeamento de fornecedores críticos, infraestrutura de atuação em contingência e backup de itens críticos (verifique se sua empresa possui uma lista de fornecedores críticos, tais como: Sistemas de ponto, provedores de benefícios [VT e VR], fornecedores de Infraestrutura e sistemas de TI [Links, Servidores, etc.], infraestrutura predial [fornecedor de energia, geradores, telefonia, etc.], além de fornecedores da sua cadeia produtiva, itens extremamente críticos que podem para sua operação precisam de um PCO bem estruturado e seu fornecedor precisa estar preparado para não interromper seu processo. Peça para seus fornecedores desenvolverem um PCN);
    .
  • Treinamentos de pessoas chaves no processo e comunicação interna aos envolvidos e/ou impactados (verifique se as pessoas estão sendo treinadas para atuação em contingência, especialmente áreas chaves, como Financeiro, RH, etc., veja se isso está gerando melhorias e aprendizados, busque evidencias desse treinamento);
    .
  • Processo de retroalimentação dos resultados dos treinamentos e estabelecimento de lições aprendidas (novamente aqui pode verificar mais a fundo se existe um processo de retroalimentação do PCN. Se você chegou neste item e não viu nada de formalização, provavelmente é problema neste item também, pode começar a escrever o relatório, você vai ter bastante trabalho pra redigir todos os pontos rsrs);
    .
  • Estabelecimento e funcionamento do Comitê de Crise (papeis, responsabilidades e formalização das reuniões) (importante aqui ver se existe um Comitê de Crise formalizado e definido, geralmente com pessoas chaves e pessoas que tomam decisão na Companhia [C-Level], veja também as formalizações de reuniões de preparação, provavelmente não fazem, este comitê possivelmente só se reúne no dia que as coisas estão “bem ruins” rsrs);
    .
  • Definição de estratégia de atuação em contingência (verifique se foi formalizada a estratégia de atuação em contingência, por exemplo a definição para trabalho remoto, onde os profissionais trabalharão de casa – se esta for a estratégia definida, verifique se todos os profissionais chaves das áreas críticas possuem notebooks, VPNs e infraestrutura necessária [token, impressora, etc.] para o desenvolvimento do trabalho).

Sistemas de gestão e suporte

  • Em geral, em PCN, você não encontrará sistema suporte deste processo, porém é importante ter um Mapeamento de Sistemas Críticos ao negócio, contemplando planos de contorno para trabalhar sem o sistema operando (trabalhar no modo analógico parece coisa de outro mundo hoje em dia).

Bom, este assunto é extremamente necessário em dias atuais, e como todo auditor é multidisciplinar (ou como costumo dizer, “especialista em conhecimentos gerais”), o escopo que mencionei acima ajudará a ter um direcionador para avaliar a Gestão da Continuidade de Negócios da sua Companhia.

Lembrando que o PCN é como um seguro do seu carro, você faz e espera nunca utilizar, mas se faz uma porcaria, pode te dar muita dor de cabeça.
.

* * * * *

.
Pulicado originalmente no LinkedIn do Walter Alexandre Reimberg Lopes.

Conteúdo adaptado/modificado por Tiago Souza, com a devida autorização do autor.

Imagem do post: mindandi via freepik (banco de imagens)

Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Rodapé do Site